Hallo Zusammen,

der Lapi von meinem Kumpel weißt immer diesen Fehler auf. Habe die für euch erforderliche Log-Datei von HijackThis generieren lassen. Wie kann ich den Fehler
beheben oder den Schädling entfernen ?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:31:13, on 21.04.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system\msnrav.exe
C:\WINDOWS\system32\scwatcher.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\soundman.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\1176148993\ee\AOLSoftware.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AIM95\aim.exe
C:\Programme\Microsoft Money\System\reminder.exe
C:\winstall.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programme\PTP2001\PTDirect.exe
C:\Programme\PTP2001\TEngine.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.worldusa.com/freegames/thanks.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {A854C429-C86F-4B65-BF35-949881953E2D} - C:\WINDOWS\System32\apcup.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\System32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [USBToolTip] "C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1176148993\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\System32\yeaq.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Macromedia Flash Update] Explorar.exe
O4 - HKLM\..\Run: [Winupdates] wpcr5.exe
O4 - HKLM\..\RunServices: [Macromedia Flash Update] Explorar.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PT Direkt.lnk = C:\Programme\PTP2001\PTDirect.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {D34151C8-0C6C-4A7D-B677-4FCC9552E957} - http://www.bcnx.com/SunInfoConnect_www. ... medium.cab
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
O20 - Winlogon Notify: csfdll - C:\WINDOWS\Media\smartwarxyu.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O21 - SSODL: E404Helper - {3f1fde54-7001-4a08-9e64-621e4ed171e9} - e404d.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: FFI - Unknown owner - C:\WINDOWS\System32\svchost.exe:exm.exe
O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O24 - Desktop Component 0: (no name) - http://www.fordvehicles.com/images/2003 ... 1024_4.jpg

--
End of file - 8248 bytes

Wenn du mit einer 1-Klick-Lösung rechnest, muss ich dich enttäuschen. Dieses System ist ganz schön verseucht und es macht eine Menge Arbeit es zu reinigen.
Manchmal ist eine Neuinstallation die schnellere und vor allem saubere Variante.
Der Autostart ist mit 37 Programmen etwas überlastet, um es mal dezent auszudrücken. Mehr wie 10 Programme sind nicht erforderlich. Der Rest sollte manuell gestartet werden.
Wenn du möchtest, kann das System gereinigt werden aber wie gesagt, stelle dich schon mal auf ne Menge Arbeit ein.
Und bitte, mit diesem System keinesfalls ins Internet, damit die Schädlinge nicht auch noch verteilt werden.

danke für deine rasche Antwort, ich würde sagen wir packen es an, die Zeit nehme ich mir

Hallo,

nun, selten sieht man so einen verseuchten Rechner...viel ist da nicht mehr zu retten

mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked.

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,

O2 - BHO: (no name) - {A854C429-C86F-4B65-BF35-949881953E2D} - C:\WINDOWS\System32\apcup.dll

O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\System32\yeaq.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Macromedia Flash Update] Explorar.exe
O4 - HKLM\..\Run: [Winupdates] wpcr5.exe
O4 - HKLM\..\RunServices: [Macromedia Flash Update] Explorar.exe

O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
O20 - Winlogon Notify: csfdll - C:\WINDOWS\Media\smartwarxyu.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O21 - SSODL: E404Helper - {3f1fde54-7001-4a08-9e64-621e4ed171e9} - e404d.dll (file missing)

O23 - Service: FFI - Unknown owner - C:\WINDOWS\System32\svchost.exe:exm.exe
O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exe

««
lade sdfix . muss im abgesicherten Modus angewendet werden
http://virus-protect.org/artikel/tools/sdfix.html

poste hier nach Neustart den report, der erscheint

PC neustarten - in den abgesicherten Modus+ wende sdfix an - RunThis.batklicken

»»
lade combofix , warnmeldung wegklicken « poste den report
http://virus-protect.org/artikel/tools/combofix.html

ich habe mich an deine instruktionen gehalten, habe sdfix und combofix durchlaufen lassen, der erste erfolg war sofort sichtbar, das rote kreuz in der taskleiste mit der meldung " your computer is infected " erscheint nicht mehr, hier die log-datei von sdfix

SDFix: Version 1.173
Run by Administrator on 22.04.2008 at 20:26

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Name :
FFI
MSN RAV
IRB22
LRW38

Path :
C:\WINDOWS\System32\svchost.exe:exm.exe
"C:\WINDOWS\system\msnrav.exe"
\SystemRoot\System32\Drivers\Irb22.sys
\SystemRoot\System32\Drivers\Lrw38.sys

FFI - Deleted
MSN RAV - Deleted
IRB22 - Deleted
LRW38 - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File
Resetting AppInit_DLLs value


Rebooting

Service Yoe26 - Deleted

Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\EXPLORAR.EXE - Deleted
C:\WINDOWS\SYSTEM32\FTPUPD.EXE - Deleted
C:\162083~1 - Deleted
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\stdrun1.exe - Deleted
C:\WINDOWS\Temp\stdrun2.exe - Deleted
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll - Deleted
C:\WINDOWS\system32\4_exception.nls - Deleted
C:\WINDOWS\system32\TFTP3120 - Deleted
C:\winstall.exe - Deleted
C:\WINDOWS\csrss.exe - Deleted
C:\WINDOWS\Media\smartwarxyu.dll - Deleted
C:\WINDOWS\system32\browse.dll - Deleted
C:\WINDOWS\system32\i - Deleted
C:\WINDOWS\system32\ldcore.dll - Deleted
C:\WINDOWS\system32\ldinfo.ldr - Deleted
C:\WINDOWS\system32\lssas.exe - Deleted
C:\WINDOWS\system32\n.ini - Deleted
C:\WINDOWS\system32\WLCtrl32.dll - Deleted
C:\WINDOWS\system32\xpdx.sys - Deleted
C:\WINDOWS\system32\drivers\symavc32.sys - Deleted
C:\WINDOWS\system32\ntos.exe - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll.cla - Deleted
C:\WINDOWS\system32\wsnpoem\video.dll - Deleted
C:\WINDOWS\system32\drivers\Yoe26.sys - Deleted
C:\WINDOWS\system32\drivers\IRB22.sys - Deleted
C:\WINDOWS\system32\drivers\LRW38.sys - Deleted



Folder C:\WINDOWS\system32\wsnpoem - Removed


Removing Temp Files

ADS Check :


C:\WINDOWS\system32\svchost.exe
: ADS Found!
svchost.exe: deleted 51200 bytes in 1 streams.

Checking for remaining Streams

C:\WINDOWS\system32\svchost.exe
No streams found.



Final Check :

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-22 20:53:27
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"c:\\windows\\system32\\wpcr5.exe"="c:\\windows\\system32\\wpcr5.exe:*:Enabled:wpcr5"
"C:\\WINDOWS\\System32\\svchost.exe"="C:\\WINDOWS\\System32\\svchost.exe:*:Enabled:svchost"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 27 Jun 2002 49,222 A..H. --- "C:\Programme\AOL 7.0\aolphx.exe"
Thu 27 Jun 2002 32,842 A..H. --- "C:\Programme\AOL 7.0\aoltray.exe"
Wed 26 Jun 2002 40,960 A..H. --- "C:\Programme\AOL 7.0\RBM.exe"
Tue 28 Nov 2000 326,656 A..H. --- "C:\Programme\AOL 7.0\StartSM.exe"
Thu 27 Jun 2002 180,290 A..H. --- "C:\Programme\AOL 7.0\waol.exe"
Wed 23 Apr 2003 49,221 A..H. --- "C:\Programme\AOL 8.0\aolphx.exe"
Wed 23 Apr 2003 36,937 A..H. --- "C:\Programme\AOL 8.0\aoltray.exe"
Wed 23 Apr 2003 40,960 A..H. --- "C:\Programme\AOL 8.0\RBM.exe"
Tue 28 Nov 2000 326,656 ...H. --- "C:\Programme\AOL 8.0\StartSM.exe"
Wed 23 Apr 2003 237,633 A..H. --- "C:\Programme\AOL 8.0\waol.exe"
Wed 25 Feb 2004 54,384 A..H. --- "C:\Programme\AOL 9.0\aolphx.exe"
Mon 10 May 2004 156,784 A..H. --- "C:\Programme\AOL 9.0\aoltray.exe"
Wed 25 Feb 2004 31,344 A..H. --- "C:\Programme\AOL 9.0\RBM.exe"
Mon 19 Jan 2004 428,544 A..H. --- "C:\Programme\AOL 9.0\StartSM.exe"
Sun 12 Mar 2006 10,311,680 ..SH. --- "C:\Programme\AVIConverter\mencoder.exe"
Wed 5 Dec 2007 168,448 ..SHR --- "C:\WINDOWS\system\msnrav.exe"
Wed 24 Oct 2007 405,504 A.SHR --- "C:\WINDOWS\system\msnrav.exe~"
Sat 18 Aug 2001 557,568 A.SH. --- "C:\WINDOWS\system32\comctl32.dll"
Tue 6 Nov 2007 98,304 A.SHR --- "C:\WINDOWS\system32\Explorar.exe~"
Sat 18 Aug 2001 57,344 A.SH. --- "C:\WINDOWS\system32\mfc42loc.dll"
Sat 18 Aug 2001 401,462 A.SH. --- "C:\WINDOWS\system32\msvcp60.dll"
Sat 18 Aug 2001 322,560 A.SH. --- "C:\WINDOWS\system32\msvcrt.dll"
Wed 24 Oct 2007 54,784 A..H. --- "C:\WINDOWS\system32\pgmczs.exe~"
Sat 18 Aug 2001 34,816 A..H. --- "C:\WINDOWS\system32\spoolsvc.exe~"
Sat 18 Aug 2001 30,992 A.SH. --- "C:\WINDOWS\system32\vbajet32.dll"
Sat 18 Aug 2001 55,808 A..H. --- "C:\WINDOWS\system32\winIogon.exe~"
Fri 17 Oct 2003 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sat 26 Jun 2004 401 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv14.bak"
Sat 11 Dec 2004 400 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\v2ks.bla.bak"
Sat 11 Dec 2004 48 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\v2ks.sec.bak"
Thu 27 Jun 2002 53,320 A..H. --- "C:\Programme\AOL 7.0\COMIT\cswitch.exe"
Wed 23 Apr 2003 49,223 A..H. --- "C:\Programme\AOL 8.0\COMIT\cswitch.exe"
Wed 28 Dec 2005 757 A..H. --- "C:\Program Files\InterActual\InterActual Player\iti1.tmp"
Sat 18 Aug 2001 322,560 A.SH. --- "C:\WINDOWS\LastGood\System32\msvcrt.dll"

Finished!

und hier die log-datei von combofix

ComboFix 08-04-20.5 - Tobias 2008-04-22 21:38:02.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.0.1252.1.1031.18.292 [GMT 2:00]
ausgeführt von:: E:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\install.dat
C:\WINDOWS\system32\acledi.dll
C:\WINDOWS\system32\avifil3.dll
C:\WINDOWS\system32\cl.dll
C:\WINDOWS\system32\comca.dll
C:\WINDOWS\system32\comdlg3.dll
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\n.ini
C:\WINDOWS\system32\corpo.dll
C:\WINDOWS\system32\crypt3.dll
C:\WINDOWS\system32\ctl3d3.dll
C:\WINDOWS\system32\d3di.dll
C:\WINDOWS\system32\devmg.dll
C:\WINDOWS\system32\dhcpmo.dll
C:\WINDOWS\system32\dhcpsap.dll
C:\WINDOWS\system32\dmdlg.dll
C:\WINDOWS\system32\dxtmsfta.dll
C:\WINDOWS\system32\e404d.dll
C:\WINDOWS\system32\apcup.dll . . . . Nicht in der Lage zu löschen

----- BITS: Possible infected sites -----

hxxp://methasearch.info
.
((((((((((((((((((((((( Dateien erstellt von 2008-03-22 bis 2008-04-22 ))))))))))))))))))))))))))))))
.

2008-04-22 21:18 . 2008-04-22 21:18 <DIR> d-------- C:\Programme\CleanUp!
2008-04-22 21:13 . 2008-04-22 21:13 <DIR> d-------- C:\Programme\CCleaner
2008-04-22 20:22 . 2008-04-22 20:22 <DIR> d-------- C:\WINDOWS\ERUNT
2008-04-22 20:21 . 2008-04-22 20:56 <DIR> d-a------ C:\SDFix
2008-04-21 19:29 . 2008-04-21 19:29 <DIR> d-------- C:\Programme\Trend Micro
2008-04-21 19:09 . 2008-04-21 19:09 10,752 --ahs---- C:\Thumbs.db
2008-04-20 17:00 . 2002-11-27 13:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-20 17:00 . 2002-11-27 12:44 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen

Avenger
http://virus-protect.org/artikel/tools/avenger.html

-setze nur ein Häkchen in: "Automatically disable any rootkits found
-Das Häkchen "Scan for Rootkits" sollte angehakt sein.

kopiere rein:

Code: Alles auswählen

Drivers to disable:
cpidnnzl
Flq33
Jqa00

Drivers to delete:
cpidnnzl
Flq33
Jqa00

Registry keys to delete:
HKLM\System\ControlSet002\Services\cpidnnzl
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\Browser Helper Objects\{A854C429-C86F-4B65-BF35-949881953E2D}

Files to delete:
C:\WINDOWS\System32\drivers\yklfawna.dat
C:\WINDOWS\system32\drivers\Jqa00.sys
C:\WINDOWS\system32\drivers\Flq33.sys
C:\WINDOWS\system32\apcup.dll
C:\WINDOWS\system32\pgmczs.exe~
C:\WINDOWS\system32\spoolsvc.exe~
C:\WINDOWS\system32\Explorar.exe~
C:\WINDOWS\system\msnrav.exe~
C:\WINDOWS\system\msnrav.exe
c:\windows\system32\wpcr5.exe

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

FALLS FEHLERMELDUNGEN KOMMEN.. klicke solange, bis der Rechner neustartet (wird 2 Mal neustarten)
poste den report, der dann erscheint

--------

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"


klicke sdfix im Normalmodus
RunThis.bat doppelt klicken
reinschreiben: 3
Sophos wird geladen.
klicke dann 6 - lasse scannen + poste en report

««
dann wende sdfix noch mal im abgesicherten Modus an + poste den report


«

alles klar, ich werde es heute und morgen nicht schaffen, sobald ich zeit habe setze ich mich ran und gebe dir dann wieder bescheid, bis dahin ein fettes dankeschön schon mal

hallo,

nach dem ich auf execute geklickt habe, erscheint folgende Fehlermeldung

" error: invalid script. a valid script must begin with a command directive.aborting execution! "

kann damit leider nichts anfangen, vielleicht kannst du mir wieder weiterhelfen[/img]

das hatte ich geschrieben..........

FALLS FEHLERMELDUNGEN KOMMEN.. klicke solange, bis der Rechner neustartet (wird 2 Mal neustarten)
poste den report, der dann erscheint

wenn es nach 10.... mal nicht funktioniert, starte du selbst den rechner neu,.

aber meiner meinung nach führt ja avenger erst gar nicht den eingefügten code aus,
so dass nach dem neustart auch kein report erscheint, er fragt erst gar nicht, ob er den rechner neu starten soll, ich probiere es trotzdem nochmal

ja, versuche es mal, sonst muessen wir andere Sachen anwenden

mit avenger komme ich leider nicht weiter, das funzt bei mir nicht, haben wir noch alternativen ?

1.
Avenger, jetzt sollte es klappen:

Drivers to disable:
cpidnnzl
Flq33
Jqa00

Drivers to delete:
cpidnnzl
Flq33
Jqa00

Registry keys to delete:
HKLM\System\ControlSet002\Services\cpidnnzl
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\Browser Helper Objects\{A854C429-C86F-4B65-BF35-949881953E2D}

poste das log vom Avenger nach neustart.

-------------------------------------------

2.
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe
Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

C:\WINDOWS\System32\drivers\yklfawna.dat
C:\WINDOWS\system32\drivers\Jqa00.sys
C:\WINDOWS\system32\drivers\Flq33.sys
C:\WINDOWS\system32\apcup.dll
C:\WINDOWS\system32\pgmczs.exe~
C:\WINDOWS\system32\spoolsvc.exe~
C:\WINDOWS\system32\Explorar.exe~
C:\WINDOWS\system\msnrav.exe~
C:\WINDOWS\system\msnrav.exe
c:\windows\system32\wpcr5.exe

Klicke auf den Roten MoveIt!

poste , was rechts im Fenster erscheint

----------------

----
3.
dann wende noch mal sdfix im abgesicherten Modus an + poste den report

avenger hat wieder nicht funktioniert, otmovit und sdfix habe ich durchgeführt, hier die reports

otmovit:

File/Folder C:\WINDOWS\System32\drivers\yklfawna.dat not found.
C:\WINDOWS\system32\drivers\Jqa00.sys moved successfully.
C:\WINDOWS\system32\drivers\Flq33.sys moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\apcup.dll
C:\WINDOWS\system32\apcup.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\apcup.dll scheduled to be moved on reboot.
C:\WINDOWS\system32\pgmczs.exe~ moved successfully.
C:\WINDOWS\system32\spoolsvc.exe~ moved successfully.
C:\WINDOWS\system32\Explorar.exe~ moved successfully.
C:\WINDOWS\system\msnrav.exe~ moved successfully.
C:\WINDOWS\system\msnrav.exe moved successfully.
File/Folder c:\windows\system32\wpcr5.exe not found.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04272008_213918

sdfix:

SDFix: Version 1.173
Run by Administrator on 27.04.2008 at 21:56

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-27 22:03:02
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\System32\\svchost.exe"="C:\\WINDOWS\\System32\\svchost.exe:*:Enabled:svchost"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 27 Jun 2002 49,222 A..H. --- "C:\Programme\AOL 7.0\aolphx.exe"
Thu 27 Jun 2002 32,842 A..H. --- "C:\Programme\AOL 7.0\aoltray.exe"
Wed 26 Jun 2002 40,960 A..H. --- "C:\Programme\AOL 7.0\RBM.exe"
Tue 28 Nov 2000 326,656 A..H. --- "C:\Programme\AOL 7.0\StartSM.exe"
Thu 27 Jun 2002 180,290 A..H. --- "C:\Programme\AOL 7.0\waol.exe"
Wed 23 Apr 2003 49,221 A..H. --- "C:\Programme\AOL 8.0\aolphx.exe"
Wed 23 Apr 2003 36,937 A..H. --- "C:\Programme\AOL 8.0\aoltray.exe"
Wed 23 Apr 2003 40,960 A..H. --- "C:\Programme\AOL 8.0\RBM.exe"
Tue 28 Nov 2000 326,656 ...H. --- "C:\Programme\AOL 8.0\StartSM.exe"
Wed 23 Apr 2003 237,633 A..H. --- "C:\Programme\AOL 8.0\waol.exe"
Wed 25 Feb 2004 54,384 A..H. --- "C:\Programme\AOL 9.0\aolphx.exe"
Mon 10 May 2004 156,784 A..H. --- "C:\Programme\AOL 9.0\aoltray.exe"
Wed 25 Feb 2004 31,344 A..H. --- "C:\Programme\AOL 9.0\RBM.exe"
Mon 19 Jan 2004 428,544 A..H. --- "C:\Programme\AOL 9.0\StartSM.exe"
Sun 12 Mar 2006 10,311,680 ..SH. --- "C:\Programme\AVIConverter\mencoder.exe"
Sat 18 Aug 2001 557,568 A.SH. --- "C:\WINDOWS\system32\comctl32.dll"
Sat 18 Aug 2001 57,344 A.SH. --- "C:\WINDOWS\system32\mfc42loc.dll"
Sat 18 Aug 2001 401,462 A.SH. --- "C:\WINDOWS\system32\msvcp60.dll"
Sat 18 Aug 2001 322,560 A.SH. --- "C:\WINDOWS\system32\msvcrt.dll"
Sat 18 Aug 2001 30,992 A.SH. --- "C:\WINDOWS\system32\vbajet32.dll"

Sat 18 Aug 2001 55,808 A..H. --- "C:\WINDOWS\system32\winIogon.exe~"

Fri 17 Oct 2003 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sat 26 Jun 2004 401 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv14.bak"
Sat 11 Dec 2004 400 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\v2ks.bla.bak"
Sat 11 Dec 2004 48 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\v2ks.sec.bak"
Thu 27 Jun 2002 53,320 A..H. --- "C:\Programme\AOL 7.0\COMIT\cswitch.exe"
Wed 23 Apr 2003 49,223 A..H. --- "C:\Programme\AOL 8.0\COMIT\cswitch.exe"
Wed 28 Dec 2005 757 A..H. --- "C:\Program Files\InterActual\InterActual Player\iti1.tmp"
Sat 18 Aug 2001 322,560 A.SH. --- "C:\WINDOWS\LastGood\System32\msvcrt.dll"

Finished!

««
Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein

Code: Alles auswählen

dir /s /a "c:\winIogon*.*" > c:\find.txt & start notepad c:\find.txt

kopiere den text, der erscheint hier.

------------------------------

««
http://virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

cpidnnzl

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

gleiches mit:

Flq33

Jqa00